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IM TEST: QUALYS INTRANET-SCANNER 


Angriffspunkte 


suchen 


Mit dem Intranet-Scanner bietet Qualys, ein 


Unternehmen, das sich auf Security Audits und 


Vulnerability-Management spezialisiert hat, 


eine Appliance, die dabei helfen soll, Sicher- 


heitslöcher in Unternehmensnetzen auf- 


zuspüren. Das Produkt musste im LANline-Test 


zeigen, was in ihm steckt. 


Qualys bietet eine Intra- 
net-Scanner-Appliance, die 
innerhalb des Unterneh- 
mensnetzes nach Schwach- 
stellen sucht. Das Produkt 
verbindet sıch über das In- 
ternet doppelt verschlüsselt 
(mit SSL, darüber noch 
mal mit SSH) mit der Site 
des Herstellers, und die 
Administration des Secu- 
rity-Werkzeugs läuft aus- 
schließlich über ein Web- 
interface auf der Qualys- 
Homepage. Damit greift 
die Appliance auf einen 
zentralen Datenpool zu, in 
dem die Vulnerabilities zu 
finden sind, was wiederum 
die Aktualität der Scans si- 
cher stellt: Hat der Herstel- 
ler eine neu gefundene Be- 
drohung in sein System 
eingepflegt, kann der Intra- 
net-Scanner sofort danach 
suchen. Allerdings laufen 
auch das Reporting und 
meist die Ablage der beim 
Scannen erfassten Daten 
über die Qualys-Site ab, ein 
Unternehmen, das diesen 
Dienst in Anspruch nımmt, 
gibt also in der Regel in- 


terne Netzwerkdaten nach 
außen. Der Dienstleister 
garantiert allerdings die 
Vertraulichkeit dieser Da- 
ten — da das Passwort des 
Kunden bei Qualys nur in 
Hash-Form vorliege, hat 
das Unternehmen nach el- 
gener Aussage keine Mög- 
lichkeit, die Daten seiner 
Kunden auszuspionieren. 
Für Unternehmen, die ganz 
auf der sicheren Seite sein 
sollen, bietet Qualys darü- 
ber hinaus eine XML-API, 
welche es erlaubt, die Scan- 
Ergebnisse im XML-For- 
mat zur weiteren Verarbei- 
tung auf eigenen Servern zu 
speichern. 


INBETRIEBNAHME Die 
Appliance ist schnell in Be- 
trieb genommen: Standard- 
mäßig kommt sie als DH- 
CP-Client — steht ein DH- 
CP-Server ım Netz, genügt 
es, das Gerät anzuschließen 
und einzuschalten. In Net- 
zen ohne DHCP lässt sich 
über ein Frontpanel eine 
statische IP-Adresse ein- 
stellen. Nach dem Hoch- 
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fahren muss der Adminis- 
trator über dieses Front- 
panel die Login-Daten für 
seinen Account bei Qualys 
eingeben, da die Appliance 
sich beim Hersteller ein- 
loggt. Das ist etwas müh- 
selig, da man mit Pfeil- 
tasten arbeiten muss und 
die Passwörter, dıe der Her- 
steller vergibt, in etwa so 
aussehen: “hDuT42Kwas”. 
Da dieser Vorgang nur ein- 
mal erforderlich ist, lässt 
sich der Aufwand jedoch 
verschmerzen. 

Hat die Appliance die 
Verbindung zu Qualys her- 
gestellt, muss sich der 


Administrator ım nächsten 
Schritt ebenfalls dort ein- 
loggen und die Konfigura- 


auf, das die Meldung an- 
zeigt, das System warte auf 
eine Verbindung zum Intra- 
net-Scanner. Vermutet man 
nach einiger Zeit Verbin- 
dungsprobleme und ver- 
sucht, den Scan erneut zu 
starten, handelt man vor- 
eilig: Es kann durchaus mal 
eine Minute dauern, bis die 
Verbindung steht. Im Test 
starteten wir zwei parallele 
Scans und brachten damit 
den Netzwerkverkehr ım 
LAN fast zum Erliegen. 
Die _Bandbreitennutzung 
des Systems war generell 
ein Problem: Der Hersteller 
empfiehlt, den Parameter 
“Bandwidth Impact” auf 
“Medium” zu setzen, mit 
dieser Einstellung war ein 
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Die Mapping-Funktion gibt einen schönen Überblick über das 


Netzwerk 


tion des Systems vorneh- 
men. Für den Anfang reicht 
es, einen IP-Adressbereich 
zu definieren, der unter- 
sucht werden soll, und 
schon kann der Scan losge- 
hen. Hierbei darf man aller- 
dings nicht ungeduldig sein 
— zunächst geht ein Fenster 


normales Arbeiten im LAN 
aber nicht mehr möglich. 
Erst ein Heruntersetzen 
des Parameters auf “Low” 
schaffte Abhilfe, die Scans 
dauerten damit aber länger. 
Laut Qualys gibt es beim 
Scan Schwierigkeiten mit 
einigen Routern, Switches 
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und Firewalls. Das Unter- 
nehmen empfiehlt, die Zahl 
der simultanen Scans he- 
rabzusetzen, wenn die 
Netzlast zu sehr steigt. 

Als weiteres Problem im 
Test stellte sich unser HP- 
Netzwerkdrucker heraus. 
Qualys hat in seine Soft- 
ware einen Erkennungsme- 
chanısmus eingebaut, der 
Drucker als solche identifi- 
zieren soll. Damit will der 
Hersteller verhindern, dass 
der Scanner sämtliche GET- 
Befehle, die er kennt, an al- 
le offenen Ports schickt, die 
er findet. Das hat bei 
Druckern nämlich die fatale 
Auswirkung, dass diese 
dann jede Menge RAW-Da- 
ten (die sie über Port 9100 
empfangen) ausdrucken, 
was wiederum dazu führt, 
dass jeder Netzwerkscan ım 
Test einen Haufen Altpapier 
erzeugt. Der Qualys-Erken- 
nungsmechanismus unter- 
sucht die Ports 515 sowie 
9100. Findet er auf Port 515 
einen Lpd-Dienst, und ist 
Port 9100 offen, geht er da- 
von aus, dass es sich um ei- 
nen Drucker handelt und 
schränkt den Scan ein. Un- 
ser HP-Drucker bot aller- 
dings die Option, auch an- 
dere Ports als Port 9100 als 
Raw-Printing-Ports zu defi- 
nieren, was das Qualys- 
Tool aus dem Tritt brachte: 
Etwa 50 Seiten Altpapier 
pro Scan waren das Ergeb- 
nis. Hier konnte der Qualys- 
Support beweisen, was ın 
ihm steckt, und tatsächlich 
dauerte es nur eine Woche, 
bis eine aktualisierte Fas- 
sung der Scan-Software be- 
reitstand die dieses Problem 
beseitigte. 
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Bei einigen anderen Klei- 
nigkeiten ist zu wünschen, 
dass der Support ähnlich 
schnell Besserung schafft: 
So erkannte das Werkzeug 
zwar korrekt, dass auf einer 
Windows-ME-Maschine in 
unserem Testnetz ein wich- 
tiger Sicherheits-Patch nicht 
installiert war und bot auch 
komfortabel einen direkten 
Link auf die Microsoft- 
Download-Site an. Dieser 
führte aber leider zu der eng- 
lischen Version des Patches, 
Anwender von Betriebssys- 
temen mit anderen Sprachen 
müssen den Patch selber 
suchen. Des Weiteren er- 
schien in unserem Scan- 
Report der Hinweis, wir 
sollten auf unserer Sparc- 
basierten Solaris-8-Maschi- 
ne noch vier zusätzliche Pat- 
ches installieren. Wir nah- 
men uns diesen Hinweis zu 
Herzen, luden die Patches 
herunter und versuchten 
diese einzuspielen. Dabei 
stellten wir jedoch fest, dass 
zwei davon bereits instal- 
liert waren. Auf die Frage 
beim Support, inwieweit die 
Informationen, die der Scan 
liefert, in solchen Fällen 
überhaupt ernst zu nehmen 
seien, sagte dieser lapidar, 
der Patch-Zustand auf Sola- 
ris-Maschinen sei schwer zu 
erkennen und deswegen 
empfehle die Lösung alle 
relevanten Patches für eine 
Installation. 

Ebenfalls verwirrend: 
Qualys empfahl, auf unse- 
rem Netware-6-Server ei- 
nen Patch zu installieren, 
den Novell ausdrücklich als 
Betaversion gekennzeich- 
net hatte. Auf die Frage, ob 
die Installation von Beta- 


Patches auf Servern denn 
wirklich empfehlenswert 
sei, gab der Qualys-Support 
die Antwort, Novell selbst 
empfehle das auch. 


FUNKTIONEN Sonst gab 
es mit der Lösung keine 
nennenswerten Schwierig- 
keiten — im Gegenteil, das 
Produkt kann durch eine 
große Funktionsvielfalt 
überzeugen. Neben der 
Scan-Funktion, die offene 
Ports und Dienste im Netz 
erkennt, steht auch eine 
Mapping-Funktion zur Ver- 
fügung, die eine Karte des 
LANs anlegt. Sowohl für 
Scans als auch für Maps las- 
sen sich umfangreiche Re- 
ports anlegen. Diese zeigen 
beispielsweise Details zu 
den gefundenen Rechnern 
oder Grafiken zur Vertei- 
lung der Betriebssysteme im 
Unternehmen. Darüber hi- 
naus kann das System zwei 
Maps vergleichen. Um 
Reports unterschiedlicher 
Fachtiefe zu erstellen, bei- 
spielsweise Reports für Ma- 
nager mit grafischen Dar- 
stellungen und Reports für 
IT-Fachpersonal mit tiefge- 
henden Informationen, ste- 
hen dem Verantwortlichen 
umfangreiche Konfigurati- 
onsoptionen zur Verfügung. 
Qualys bietet auch einen 
SANS/FBI-Report an, der 
zeigt, wie die laut SANS 
Institute und FBI 20 wich- 
tigsten Sicherheitslücken im 
Unternehmensnetz verteilt 
sind. Neben den Sicher- 
heitslücken, gefundenen Be- 
triebssystemen und Diens- 
ten enthalten die Reports 
auch Erklärungen und Links 
zu den einzelnen Vulnerabi- 


lities, die erläutern, worum 
es sich konkret handelt. Hier 
findet sich folglich jede 
Menge praktische Hilfe für 
den Administrator. Das Pro- 
dukt ıst darüber hinaus dazu 
in der Lage, anhand von 
durch den Administrator de- 
finierten Policies Tickets zu 
erzeugen, die dazu die- 
nen, bestimmte Sicherheits- 
lücken bestimmten Mitar- 
beitern zuzuordnen und den 
Fortgang bei der Problemlö- 
sung zu dokumentieren. 
Auch für diese Tickets gibt 
es Reports, und zwar gra- 
fisch, benutzerbasiert, grup- 
penbasiert und nach Sicher- 
heitslücken geordnet. Eine 
alphabetisch geordnete, mit 
einer Suchmaschine aus- 


gestattete “Vulnerability 
Knowledge Base” rundet 
das Reporting ab. 


KONFIGURATION Die 
Konfigurationsoptionen für 
die Scans lassen sich in 
Profile abspeichern, was es 
ermöglicht, für einzelne 
Scans einzelne Options- 
Sets zu definieren — zum 
Beispiel Scans mit geringer 
Netzwerklast während der 
Arbeitszeit und _ tieferge- 
hende Scans mit hoher Last 
während der Nachtstunden. 
Zu den wichtigsten Opti- 
onen gehören die Angabe 
der Ports (der Administra- 
tor kann die Ports, die er 
scannen möchte, explizit 
angeben, standardmäßig 
scannt die Appliance die 
nach Meinung des Herstel- 
lers 1800 üblichsten Ports, 
um Zeit zu sparen), die zu 
nutzende Bandbreite, eine 
Funktion zum Scannen von 
“Dead Hosts” (also Hosts, 
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Der Scan liefert eine übersichtliche Liste der Verwundbarkeiten 
und ordnet diesen gleich eine Bewertung zu 


die auf keinen der üblich- 
sten Dienste reagieren — bei 
Qualys kommen zur Host- 
Erkennung HTTP, Ping, 
SMTP und SSH zum Ein- 
satz) sowie Einstellungen 
zum Brute-Force-Angriff 
auf Passwörter. Ein Funk- 
tion zum “Selective Vulner- 
ability Scanning” durch- 
sucht das Netz nach be- 
stimmten Sicherheits- 
lücken. Das ergibt bei- 
spielsweise Sinn, wenn ein 
Virus auftaucht, der einen 
bestimmten Exploit nutzt 
und der Administrator se- 
hen will, welche Rechner 
bedroht sind. Bei den Map- 
Optionen kann der Admi- 
nistrator zudem angeben, 
welche Ports die Sicher- 
heitslösung während des 
Mappings scannt, um die 
Hosts zu finden. Standard- 
mäßig verwendet das Pro- 
dukt dazu elf Ports, es kön- 
nen aber bis zu 20 herange- 
zogen werden. 

Unter dem Punkt 
“Groups” gibt der Admi- 
nistrator an, welche IP-Be- 
reiche und Domänen zu 


scannen und mappen sind, 
und “Schedules” dient zur 
Definieren automatischer 
Überprüfungen des Netzes. 
“Users” ermöglicht das 
Verwalten von Benutzern. 
Der Verantwortliche kann 
an dieser Stelle bestimmten 
Benutzern fest bestimmte 
Groups zum Überwachen 
zuteilen. Insgesamt gibt es 
vier verschiedene Benut- 
zertypen: Der Manager darf 
alles, Scanner dürfen Scans 
und Mappings durch- 
führen, Readers dürfen die 
Resultate ansehen, und 
Contacts sind lediglich da- 
zu ın der Lage, E-Mail-Be- 
nachrichtigungen zu emp- 
fangen. Der Punkt “Ac- 
count” schließlich dient 
zum Hinzufügen und Kon- 
figurieren der IP-Adressen 
und Domänen, die das Un- 
ternehmen hat und die zum 
Scannen lizenziert sind. 
An gleicher Stelle findet 
sich auch ein Log mit den 
Aktivitäten der Appliance 
und die Möglichkeit, Logins 
auf bestimmte Quell-IP- 
Adressen zu beschränken. 
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Punkte für Support-Anfra- 
gen per E-Mail und zum He- 
runterladen der Dokumenta- 
tion (Letzteres hätte man 
sıch an einer etwas eingän- 
gigeren Stelle gewünscht), 
schließen das Werkzeug ab. 


FAZIT Der Intranet-Scan- 
ner von Qualys ist ein sehr 
leistungsfähiges Werkzeug, 
das dem Administrator um- 
fangreiche Informationen 
über den Sicherheitszu- 
stand seines Netzes und 
praktische Hilfestellungen 
zur Verfügung stellt. Der 
Einsatz einer solchen Lö- 
sung im Unternehmensnetz 
bringt durchaus wichtige 
Erkenntnisse. Allerdings 


muss der Verantwortliche 
darauf achten, dass der 
Scanner nicht zu geschäfts- 
krıtischen Zeiten zum Ein- 


gepasst werden, damit kei- 
ne unliebsamen Überra- 
schungen auftreten. 

In einigen Bereichen sınd 
darüber hinaus Nachbes- 
serungen durch den Her- 
steller wünschenswert, so 
zum Beispiel bei den 
Download-Verweisen auf 
englische Patches. 

Qualys verlangt 2995 
Euro für die Appliance, die 
Scans kosten extra nach 
Zahl der IP-Adressen und 
der Scan-Durchläufe. Der 
Preisrahmen beginnt bei 
995 Euro für eine Server- 
IP-Adresse beziehungswei- 
se bei 2495 Euro für 100 
Scan-Vorgänge. Qualys un- 
terscheidet bei den Scans 
zwischen Servern und 
Desktops. Die Desktop- 
Scans beginnen bei 4995 
Euro für 32 IP-Adressen. 
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Die Reports sind übersichtlich und enthalten ausführliche 
Informationen zu den einzelnen Hosts 


satz kommt, da er ın be- 
stimmten Konfigurationen 
dazu neigt, das Netz lahm- 
zulegen. Außerdem müssen 
die Scans genau an die 
Netzwerkinfrastruktur an- 


Nach oben hin werden die 
Tarıfe günstiger — 5000 
Scans kosten 39.995 Euro. 
(Götz Güttich) 

Info: Qualys 


Tel.: 0211/52391545 
Web: www.qualys.de 
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